论文部分内容阅读
企业档案是企业在生产经营活动中形成的具有保存价值的以文字、图像、声音为载体的历史记录,及时准确的档案信息服务对于企业日常运作及管理层决策有着重要的意义。而我国传统的企业档案管理模式重保管轻利用,致使大批档案得不到充分的使用。随着信息化时代到来,互联网以其超乎想象的存储能力方便快捷的检索方式影响着信息的传播。企业档案管理的信息化能够显著提高企业档案管理水平,与传统纯人工管理模式比较,档案信息化管理具有检索迅速、查找方便、存储量大等优势,数据录入后可以反复多次检索、多人同时检索利用,还可以通过数据库进行数据模糊检索、组合检索等方式快速获得所需的档案信息。
目前信息化网络以其开放性、交互性给人们带来方便的同时,也带来了诸如计算机病毒、木马等安全风险。企业档案不同于一般信息,具有特殊性,一方面是保密要求,必须保证档案信息不能泄露,另一方面必须保证特定范围人员拥有特定的调阅权限,具有排他属性。一旦企业档案被非法窃取、篡改或删除,将给企业带来难以估量的损失,这就要求企业档案信息化建设工作要格外重视信息安全问题。企业档案信息化安全的内涵包括以下三个要素:机密性,非授权人员不得使用;真实性,电子档案与纸质档案内容必须一致;稳定性,保证电子档案内容无法随意删改。
1.企业档案信息化建设面临的安全威胁
1.1计算机病毒、木马威胁
随着互联网的发展,诸如“蠕虫”、“熊猫烧香”等病毒木马程序也在网络中传播扩散,造成的破坏和损失在所有安全威胁中居首位。计算机病毒不仅可以通过短时间内重复发送大量无意义数据造成网络通信拥堵,还可以破坏服务器系统文件从而造成系统数据和文件系统破坏,如果造成重要档案数据的丢失那么损失将是灾难性的。
1.2企业信息化网络构建的物理安全威胁
物理网络安全是企业信息化网络安全的基础。档案信息网建设中,由于基础网络系统弱电性,在物理网络的搭建中,需要考虑对网络设备进行防护,避免漏电、火灾和雷击。
1.3操作系统及档案信息应用系统的安全风险
不论是微软公司的视窗操作系统还是其它任何商用UNIX操作系统,其开发公司均留有“后门”,均有被恶意访问的风险,不存在绝对安全的操作系统,因此在选择供应商时,不仅要尽可能保证操作系统和硬件平台稳定可靠,还必须根据本企业的需要对系统进行安全配置,加强登录服务器过程中的认证手续,确保访问用户的合法性,严格限制访问者的操作权限,将其能够进行的操作限制在必须的范围内。档案信息应用系统本身的稳定性、安全性能否得到保证不仅关系到企业档案能否顺利通过信息系统实现有效利用,还关系到档案信息机密不被泄露、篡改和删除。
1.4档案管理体系的安全漏洞
如果没有严格的管理体系,任何先进软硬件安全方案都不能发挥其应有的作用。管理混乱、制度不健全或缺乏可操作性都是发生档案信息化管理安全问题的潜在危险因素。因缺乏有效的网络安全管理制度或未按制度执行,使本企业档案信息化网络在受到黑客攻击时不能及时进行预警、监控及防御从而造成机密泄露、数据损毁。因企业档案信息化网络日常管理松懈,可能造成档案信息化录入错误而导致电子档案与原始档案不一致给档案利用制造困难,还可能因档案利用过程中异常操作而导致电子档案数据破坏。
2.档案信息化建设的安全对策
2.1档案管理人员及档案信息化利用人员安全意识的培养
即使档案信息安全系统安全设计再完善,如果管理员、信息使用者没有严格按规范执行,那么再先进的加密手段也只能沦为摆设。档案信息系统归根到底仍然需要管理人员建立和维护,需要企业相关人员加以利用,因此在档案信息化应用过程中发生的各种问题或多或少都与人有关。因此,在档案信息化建设过程中,必须认真通过培训教育有关人员,使之认识到信息安全的重要性、严肃性,提高认识防范蓄意或者疏忽造成危害信息网络安全事件发生的概率。根据不同的职位,给予相应的档案信息使用权或管理权限。同时对于档案信息网络管理者和使用者的权限实行动态管理,定期核实人员岗位变动、升职或离职等岗位变动情况,并进行相应的权限调整,避免无关人员接触相应机密内容。进行宣传教育,要求相关人员选用复杂密码,对密码长度及组合复杂度要有必要规定(如密码长度不少于8字符,且必须英文、数字混杂等),减少被黑客暴力破解的几率,要求在使用涉密电脑或在自己办公电脑查阅相应档案时信息内容不会被无关人员偷窥等。
2.2建立切实可行的电子档案信息管理制度
明确信息化档案录入人员的责任,制定奖惩制度控制录入错误频率,同时企业还要建立完善的电子档案录入复查机制,在电子档案录入数据库时,要对其进行全面仔细的核查,确保电子档案内容与原始档案保持一致。建立完善的电子档案的存储制度,非档案管理员不得获得删改档案的权限,同时管理员的每次删改行为也必须有案可稽,保证可追溯性。加强电子档案信息使用管理,避免因误操作删改信息或将病毒、木马程序导入档案信息数据库。建立完善的电子、纸质介质双重保存制度,虽然信息化管理给档案存储、利用带来便利,但电子档案同其他数字信息一样易受到木马病毒等安全隐患影响,纸质档案以其特有的稳定性是电子版无法替代的,不易修改,保存期限长、档案信息可靠性较高等,同时纸质档案所具有的法律效力也是电子档案所不具备的,因此纸质档案还是必须保留的,纸质档案作为企业的原始信息,以保证档案的真实性,电子档案更倾向于档案日常管理、利用,两者结合共同为企业经营活动服务。
2.3电子信息安全技术在企业档案信息化管理中的应用
2.3.1物理防范措施
设置UPS不间断电源,以保证电子档案信息服务器及网络电力供应,针对信息化网络电器属性,设置防火报警系统等。
2.3.2杀毒软件及防火墙的应用
针对企业内部网络统一采购正版企业版杀毒软件,并实行由服务器统一更新病毒数据库。建立企业局域网络防火墙,从源头隔绝外部网络非正常访问,从而最大限度的减少黑客网络攻击。
2.3.3设置档案信息网络访问权限
对用户访问档案信息数据库的权限进行严格的认证和控制。使用动态验证系统,数字身份认证系统,控制访问目录和访问文件权限。
2.3.4使用数据加密系统
加密是保护网络传输数据安全的重要手段,首先对网络中传输的数据进行加密,到达目标电脑后再还原为原始数据,防止非法用户截获后盗用档案信息。
2.3.5物理断网
对于保密等级极高的档案信息,可采用非联网电脑单独存储保管于档案室内,经允许可在档案室内进行调阅使用。
(作者单位:唐山市燃气集团有限公司)
目前信息化网络以其开放性、交互性给人们带来方便的同时,也带来了诸如计算机病毒、木马等安全风险。企业档案不同于一般信息,具有特殊性,一方面是保密要求,必须保证档案信息不能泄露,另一方面必须保证特定范围人员拥有特定的调阅权限,具有排他属性。一旦企业档案被非法窃取、篡改或删除,将给企业带来难以估量的损失,这就要求企业档案信息化建设工作要格外重视信息安全问题。企业档案信息化安全的内涵包括以下三个要素:机密性,非授权人员不得使用;真实性,电子档案与纸质档案内容必须一致;稳定性,保证电子档案内容无法随意删改。
1.企业档案信息化建设面临的安全威胁
1.1计算机病毒、木马威胁
随着互联网的发展,诸如“蠕虫”、“熊猫烧香”等病毒木马程序也在网络中传播扩散,造成的破坏和损失在所有安全威胁中居首位。计算机病毒不仅可以通过短时间内重复发送大量无意义数据造成网络通信拥堵,还可以破坏服务器系统文件从而造成系统数据和文件系统破坏,如果造成重要档案数据的丢失那么损失将是灾难性的。
1.2企业信息化网络构建的物理安全威胁
物理网络安全是企业信息化网络安全的基础。档案信息网建设中,由于基础网络系统弱电性,在物理网络的搭建中,需要考虑对网络设备进行防护,避免漏电、火灾和雷击。
1.3操作系统及档案信息应用系统的安全风险
不论是微软公司的视窗操作系统还是其它任何商用UNIX操作系统,其开发公司均留有“后门”,均有被恶意访问的风险,不存在绝对安全的操作系统,因此在选择供应商时,不仅要尽可能保证操作系统和硬件平台稳定可靠,还必须根据本企业的需要对系统进行安全配置,加强登录服务器过程中的认证手续,确保访问用户的合法性,严格限制访问者的操作权限,将其能够进行的操作限制在必须的范围内。档案信息应用系统本身的稳定性、安全性能否得到保证不仅关系到企业档案能否顺利通过信息系统实现有效利用,还关系到档案信息机密不被泄露、篡改和删除。
1.4档案管理体系的安全漏洞
如果没有严格的管理体系,任何先进软硬件安全方案都不能发挥其应有的作用。管理混乱、制度不健全或缺乏可操作性都是发生档案信息化管理安全问题的潜在危险因素。因缺乏有效的网络安全管理制度或未按制度执行,使本企业档案信息化网络在受到黑客攻击时不能及时进行预警、监控及防御从而造成机密泄露、数据损毁。因企业档案信息化网络日常管理松懈,可能造成档案信息化录入错误而导致电子档案与原始档案不一致给档案利用制造困难,还可能因档案利用过程中异常操作而导致电子档案数据破坏。
2.档案信息化建设的安全对策
2.1档案管理人员及档案信息化利用人员安全意识的培养
即使档案信息安全系统安全设计再完善,如果管理员、信息使用者没有严格按规范执行,那么再先进的加密手段也只能沦为摆设。档案信息系统归根到底仍然需要管理人员建立和维护,需要企业相关人员加以利用,因此在档案信息化应用过程中发生的各种问题或多或少都与人有关。因此,在档案信息化建设过程中,必须认真通过培训教育有关人员,使之认识到信息安全的重要性、严肃性,提高认识防范蓄意或者疏忽造成危害信息网络安全事件发生的概率。根据不同的职位,给予相应的档案信息使用权或管理权限。同时对于档案信息网络管理者和使用者的权限实行动态管理,定期核实人员岗位变动、升职或离职等岗位变动情况,并进行相应的权限调整,避免无关人员接触相应机密内容。进行宣传教育,要求相关人员选用复杂密码,对密码长度及组合复杂度要有必要规定(如密码长度不少于8字符,且必须英文、数字混杂等),减少被黑客暴力破解的几率,要求在使用涉密电脑或在自己办公电脑查阅相应档案时信息内容不会被无关人员偷窥等。
2.2建立切实可行的电子档案信息管理制度
明确信息化档案录入人员的责任,制定奖惩制度控制录入错误频率,同时企业还要建立完善的电子档案录入复查机制,在电子档案录入数据库时,要对其进行全面仔细的核查,确保电子档案内容与原始档案保持一致。建立完善的电子档案的存储制度,非档案管理员不得获得删改档案的权限,同时管理员的每次删改行为也必须有案可稽,保证可追溯性。加强电子档案信息使用管理,避免因误操作删改信息或将病毒、木马程序导入档案信息数据库。建立完善的电子、纸质介质双重保存制度,虽然信息化管理给档案存储、利用带来便利,但电子档案同其他数字信息一样易受到木马病毒等安全隐患影响,纸质档案以其特有的稳定性是电子版无法替代的,不易修改,保存期限长、档案信息可靠性较高等,同时纸质档案所具有的法律效力也是电子档案所不具备的,因此纸质档案还是必须保留的,纸质档案作为企业的原始信息,以保证档案的真实性,电子档案更倾向于档案日常管理、利用,两者结合共同为企业经营活动服务。
2.3电子信息安全技术在企业档案信息化管理中的应用
2.3.1物理防范措施
设置UPS不间断电源,以保证电子档案信息服务器及网络电力供应,针对信息化网络电器属性,设置防火报警系统等。
2.3.2杀毒软件及防火墙的应用
针对企业内部网络统一采购正版企业版杀毒软件,并实行由服务器统一更新病毒数据库。建立企业局域网络防火墙,从源头隔绝外部网络非正常访问,从而最大限度的减少黑客网络攻击。
2.3.3设置档案信息网络访问权限
对用户访问档案信息数据库的权限进行严格的认证和控制。使用动态验证系统,数字身份认证系统,控制访问目录和访问文件权限。
2.3.4使用数据加密系统
加密是保护网络传输数据安全的重要手段,首先对网络中传输的数据进行加密,到达目标电脑后再还原为原始数据,防止非法用户截获后盗用档案信息。
2.3.5物理断网
对于保密等级极高的档案信息,可采用非联网电脑单独存储保管于档案室内,经允许可在档案室内进行调阅使用。
(作者单位:唐山市燃气集团有限公司)